アジェンダ 企業を取り巻く環境の変化 日本版 SOX 法 企業システムにおける電子メール 電子メールのリスク及び対策 電子メール監査の実施例 まとめ

今こそ再点検！

これからの電子メールセキュリティの

在るべき姿

企業における電子メールのリスクマネジメント

内部統制、ＩＴ統制におけるメール監査システムとは

２００７年３月８日

キヤノンシステムソリューションズ株式会社

アジェンダ

・企業を取り巻く環境の変化

・日本版ＳＯＸ法

・企業システムにおける電子メール

・電子メールのリスク及び対策

・電子メール監査の実施例

・まとめ

企業を取り巻く環境の変化

• コンプライアンス（法令遵守・企業倫理）

意識の高まり

• 個人情報保護法 施行

• 日本版ＳＯＸ法

内部統制の重要性の高まり

リスク・マネジメント

•

企業は

法令、社会通念、業務規定などの多岐に

わたる規則・規範を全役員、全従業員が

遵守する必要がある

・

違反行為があった場合

早期に発見して是正できるマネジメント体

制を作ることが求められる。

• 内部統制に関する統合的枠組み

– COSOにより公表、SOX法の基本的な考え

– 内部統制の３つの目的

• 業務の有効性および効率性

• 財務報告の信頼性

• 法令の遵守

– ５つの基本的構成要素

• 統制環境

• リスク評価

• 統制活動

• 情報および伝達

• モニタリング

日本版ＳＯＸ法

日本版ＳＯＸ法

• 日本版内部統制に関する統合的枠組み

– COSOモデルからの拡張

– 内部統制の４つの目的（SOX法＋１）

• 業務の有効性および効率性

• 財務報告の信頼性

• 法令の遵守

• 資産の保全（経営者、担当者による独断行動の抑止）

– ６つの基本的構成要素（SOX法＋１）

• 統制環境

• リスク評価

• 統制活動

• 情報および伝達

• モニタリング

• IT（情報技術）への対応

• 日本版内部統制に関する統合的枠組み

– 財務情報の正確性

– 業務処理の透明性の確保

– ITシステムによる処理の適正性も確保が必要

>電子文書格納、保存の方針、情報へのアクセス管理 →明確に文書化

>規定どおり実施されていることを監査によって証明→エビデンス（ログデータ）の保存

• 財務報告に係る内部統制の評価および報告

– 内部統制の有効性を経営者が自己評価し、報告書を作成

• 財務報告に係る内部統制の監査

– 上記評価を第三者の監査人（公認会計士など）が評価、

監査することでその正当性を評価する

日本版ＳＯＸ法

• 日本版SOX法（通称）の特徴

– 「資産の保全」、「ITへの対応」の独立化

– トップダウン型のリスクアプローチ

– 内部統制の不備の区分（米：3段階、日：2段階）

– 二重評価の回避

– 内部統制監査と財務諸表監査の一体的実施など

• （

補足）電子メールの保存について

– 法務省が中心となって法制化作業進行中

– IT関連分野の法規制強化

日本版ＳＯＸ法

企業システムにおける電子メール

特徴

– 自由な情報交換システム

– 社内にとどまらず世界中と情報の送受信が可能

– プロトコルとしては中途検閲する仕組みを持たないため、

自由な情報をやりとりする仮想回線が、利用者単位に、

世界中につながっているとみなせる

どんな情報を誰とやり取りするか、完全に利用者個人の裁量次第

システムとしては統制（コントロール）の仕組みがない。

電子メールの危険性

• 顧客名簿、社員住所録などの誤送信

• 機密情報の漏えい

– 財務、人事、研究開発データなど

• 公序良俗に反するメール

• 会社ドメインのメールアドレスの私的利用

宛先指定間違い

添付ファイル指定間違い

社内規定の無視

リスク顕在化による想定される被害

リスク顕在化による想定される被害

リスク顕在化による想定される被害

• 利益損失

• 賠償責任負担

• 社会的信用低下

• 法的リスク

電子メールのリスク・マネジメント

• 社内規定などによるルール化

– 業務上の観点

– 効率性の観点

• システムによるリスクコントロール手段

– 効率と管理のトレードオフ

– 社内規定への適合性

電子メールリスクへの対策

• リスク予防

– リスク顕在を事前に食い止める仕組み

– 実行時管理・監査

• リスク軽減

– 事後追跡能力

– 正しく利用されているかどうか評価する、また

は証明するための仕組み

– 問題が発生した時に被害を最小限にとどめる

仕組み、また原因究明の仕組み

①リスク予防‐実行時監査

• 誰から誰へ

– 特に宛先が社外のケース

– 担当業務、役職、業務規定に対する妥当性

• 中身（コンテンツ）の妥当性

– 担当業務、業務規定に対する妥当性

– 法規制への適合性

• 個人情報保護法

– 一般社会的通念、公序良俗

①リスク予防‐実行時監査

• 送信制御

– メッセージの削除、保留、転送

– 保留メールの許認可を実行する仕組み

– イベント通知

• 記録

– ログ、本体

②リスク軽減‐事後監査

• 証拠能力

– 通信記録、存在（発生）証明、原本性保証

• 発生追跡

– 検索機能、原本復元

• 長期保管

– 保管期間、保管形式、運用サポート

メール監査フロー

管理者

送信者

アーカイブ

受信者

メール監査（実行時）

メール監査（事後）

メール監査システム

実行時監査ルールの例

• 外部へ送信するメールは上司にＣＣする

– 条件を満たさないメールは保留する

– 保留されたメールは上司が内容監査の上、

送出・削除などの操作を実行する

• 個人情報を含むと判定されるメールは保

留し、上位と情報システム部門担当者へ

通知する

事後監査ルールの例

• 部門Ａのスタッフが外部へ送信したメール

は部門Ａ管理者Ｘが、毎週以下の事項に

ついて監査する

– 発信者、送信先、標題、添付ファイル有無

– 実行時監査結果（送出ＯＫ、ＮＧ）

• 実行時監査ＮＧの場合は、本文、添付ファイルまで

確認し、情報セキュリティ管理部門へ監査実施報

告を行う

導入までのフロー

1. リスク分析、リスクの洗い出し

2. 各リスクに対する管理方法の決定

3. 監査ツール要件設計

4. ツール選定

5. 導入設計、ツール評価

6. ツール導入、テスト運用

7. 本番適用

導入後のフロー

1. 監査業務評価

– メール分析、統計分析

– 監査業務評価

– セキュリティ評価

– 効率性（コスト）評価

2. 改善

– 業務フロー見直し

– システム改善‐観点（効率性、セキュリティ）

改善・最適化フェーズ

• セキュリティ管理強化

– グループ企業間メールの暗号化

• 業務効率化

– 人事情報連携

• 人事異動に伴う各種設定の自動反映

– 監査操作（保留メール操作）の簡易化・カスタ

マイズ

メール監査ツールの要件

• リスク予防

– メッセージ識別機能

– 配送制御機能

– 実行時監査機能

（保留メール管理）

• リスク軽減

– ロギング、原本保存、

非改ざん証明機能

– 検索機能

– データ保管管理

• リスク評価

– 統計分析、運用監査機能

• セキュリティ

– アクセス管理

– 管理操作記録

• 運用サポート機能

金融業某社の事例

• 背景

– 複数の他企業との業務提携やM&Aを検討中

– 社内でも特定のメンバ間でのみ機密情報の共有が必要

• 取り組み事例

– 社外とやりとりする情報は全て暗号化する

（メール暗号化〔添付ファイル含む〕プロダクトとの連携）

– 条件を満たさないメール（送信不可キーワードを含むメールなど）

は一旦保留され、必ず上司判断を行う

– 社内−社外間の送受信メールは全て保存し、過去５年間分は

即時閲覧、検索ができる

監査レベル（実施例１）

特定条件メール

保留なし

社内→社外

Low

社内→社外

特定条件メール

社内←→社外

Middle

全て

（社内←→ 社内含む）

全て

（社内←→ 社内含む）

全て

（社内←→ 社内含む）

High

保存

送信時監査

対象メール

レベル

製造業某社の事例

• 背景

– 電子メールによる情報漏えい対策の形骸化を防ぎたい

取り組み事例

– 条件を満たさないメール（送信不可キーワードを含むメールなど）

でも、CCに上司が入っていれば外部送信はOK

– 各部長は自部門のメンバが送信した機密情報の入ったメールを

1回/週は必ず確認し、自部門への指導/フォローを行う

– 上記運用を徹底するために、管理部門は各部長がメール監査を

行っているかを定期的にチェックし、メール運用監査の形骸化を防ぐ

– 社外への送信メールのみ保存し、過去３年間分はバックアップデー

タから閲覧、検索ができる

監査レベル（実施例２）

特定条件メール

保留なし

社内→社外

Low

社内→社外

特定条件メール

社内←→社外

Middle

全て

（社内←→ 社内含む）

全て

（社内←→ 社内含む）

全て

（社内←→ 社内含む）

High

保存

送信時監査

対象メール

レベル

メール監査業務の評価

部門Ａ管理者

送信者

アーカイブ

受信者

メール監査システム

部門Ｃ管理者

部門Ｂ管理者

メール監査

管理者

監査業務の評価

まとめ

• 電子メールのリスクと内部統制との関係

• 電子メールのリスクマネジメント手段

• 電子メール監査のポイント

GUARDIANWALL

実現可能なツールは

さらに

•

組織変更、異動が頻繁で、異動者の数も多い

→全社IDデータとGUARDIANWALLと連携したい

•

監督官庁から新しくルールの通知が・・・！

→新しいレポートを作成したり、ルール変更の自動化をしたい

•

メールを保留したいけど管理者が大変だ！

→月々レポートがあればいい、一括処理をしたい

•

決められた年限メールを保存しなければ

→間違ったデータ消去や改ざんされないようにしたい！

GUARDIANWALL

運用支援ソリューションが解決します

GUARDIANWALLをすでにご利用いただいているお客様で

「こんなことがしたい、こんな機能があったら･･」

ということはございませんか？！

GUARDIANWALL運用支援

ソリューションとは？！

• GUARDIANWALLの開発・販売元である

「キヤノンシステムソリューションズ株式会社」だからできる

サービスです。

• お客様がGUARDIANWALLをお使いになる際、

「あったらいいな」のニーズにお応えできます。

• 製品開発で培ってきたノウハウを、お客様のために提供

できる唯一のインテグレーターです。

• 例えば・・・・！

GUARDIANWALL運用支援

ソリューションとは？！

運 用 に 関 す る 問 題 点 や ご 要 望 解 決 す る ソ リ ュ ー シ ョ ン 人 事 異 動 が 頻 繁 に あ り 、 そ の 度 に G U A R D IA N W A L L の 設 定 変 更 を 行 う の は 大 変 。 で き れ ば 設 定 変 更 を 自 動 化 し 、 運 用 負 荷 を 軽 減 し た い 。 人 事 異 動 に 伴 う グ ル ー プ 情 報 変 更 や 部 門 管 理 者 情 報 変 更 、 ル ー ル の 再 設 定 を 自 動 変 更 で き る 仕 組 み を ご 提 案 い た し ま す 。 検 査 ・ 配 送 ル ー ル ／ 検 査 キ ー ワ ー ド を 定 期 的 に ブ ラ ッ シ ュ ア ッ プ し た い 。 各 種 ロ グ を 基 に メ ー ル 検 査 結 果 を 評 価 で き 、 ル ー ル や キ ー ワ ー ド 設 計 に フ ィ ー ド バ ッ ク で き る 仕 組 み を ご 提 案 い た し ま す 。 そ も そ も 、 ど う い う ル ー ル 設 定 を し た ら 効 果 的 な の か よ く わ か ら な い 。 P D C A サ イ ク ル で 実 施 す る G U A R D IA N W A L L 運 用 コ ン サ ル テ ィ ン グ サ ー ビ ス を ご 提 案 い た し ま す 。 各 種 G U A R D IA N W A L L ロ グ 情 報 を 有 効 に 活 用 し た い 。 G U A R D IA N W A L L が 出 力 す る 各 種 ロ グ を お 客 様 の ご 希 望 さ れ る 形 式 で 出 力 す る 、 ま た は 閲 覧 で き る 仕 組 み を ご 提 案 い た し ま す 。 例 ) グ ル ー プ (組 織 )別 に キ ー ワ ー ド で 引 っ か か っ た メ ー ル 数 を 集 計     部 門 情 報 管 理 者 の メ ー ル 確 認 状 況 を 集 計 等 関 係 者 へ の レ ポ ー ト 提 出 を 自 動 化 し た い 。 お 客 様 の ご 希 望 さ れ る 形 式 で 、 各 種 ロ グ の 集 計 や レ ポ ー ト 化 を 自 動 化 す る 仕 組 み を ご 提 案 い た し ま す 。 社 内 ⇔ 社 外 の メ ー ル だ け で な く 、 社 内 ⇔ 社 内 の メ ー ル も 保 存 し た い 。 M S - E x c h a n g e 、 N o te s を お 使 い の お 客 様 へ G U A R D IA N W A L L で メ ー ル を 一 元 管 理 (一 括 保 存 )で き る 仕 組 み を ご 提 案 い た し ま す 。 必 定 時 に 条 件 で 絞 っ た メ ー ル を 一 括 ダ ウ ン ロ ー ド し た い 。 メ ー ル ダ ウ ン ロ ー ド 機 能 を カ ス タ マ イ ズ し 、 複 数 の メ ー ル を 一 括 ダ ウ ン ロ ー ド で き る 仕 組 み を ご 提 案 い た し ま す 。 メ ー ル デ ー タ の 長 期 保 存 が 必 要 に な っ た が 対 応 で き る の か ？ お 客 様 が ご 希 望 さ れ る 保 存 期 間 を 前 提 に 、 大 量 メ ー ル を 保 存 し 、 必 要 時 に 対 象 を 絞 り 、 取 り 出 す こ と の で き る 仕 組 み を ご 提 案 い た し ま す 。 ル ー ル 別 の ヒ ッ ト ラ ン キ ン グ の 表 示 、 集 計 結 果 の ダ ウ ン ロ ー ド を 行 い た い 。 G U A R D IA N W A L L 側 ロ グ を 独 自 に 集 計 し 、 管 理 画 面 で の 表 示 、 ダ ウ ン ロ ー ド が で き る 仕 組 み を ご 提 案 い た し ま す 。 メ ー ル の 誤 送 信 を 防 止 す る こ と は で き な い か ？ G U A R D IA N W A L L 側 で 一 定 時 間 メ ー ル を 保 留 し 、 送 信 キ ャ ン セ ル を_{実 現 で き る 仕 組 み を ご 提 案 い た し ま す 。} 運 用 の 効 率 化 資 産 の 有 効 活 用 機   能   強   化

グループ

テーブル

ポリシー

ルール

キーワード

テーブル

メール

アーカイブ

_統計

ログ

監査

ログ

長期保存

リライト禁止ディスク

加工

検索

集計解析

帳票

メール本文

プリンタ出力

集計解析

_帳票

保留通知

保留メールの

一括通知

全社

ID

システム

法制

コンプライアンス

内部統制

全社セキュリティ

ポリシー

http://www.canon-sol.co.jp/guardian/